Support technique
Documentation
Connexion
Nous contacter
CircleCI s'associe à AWS pour identifier et révoquer les clés affectées par un incident de sécurité
Le 25 janvier 2023 - L'équipe de relations publiques de TuxCare
Selon Rob Zuber, directeur technique de CircleCI, CircleCI travaille avec Amazon Web Services pour informer les clients qui possèdent des jetons AWS et qui pourraient avoir été touchés par l'incident de sécurité du 4 janvier.
Selon le billet de blog, AWS a commencé à envoyer des mises à jour aux clients avec des listes de jetons qui pourraient avoir été affectés. CircleCI a déclaré qu'elle souhaitait contribuer à l'identification et à la révocation de toute clé ayant pu être affectée par l'incident de sécurité.
En plus de partager des outils pour aider les équipes à retrouver tous les secrets potentiellement impactés, CircleCI a annoncé qu'elle collaborait avec AWS pour notifier ceux qui ont pu avoir leurs tokens compromis. CircleCI a déclaré que l'entreprise a mis à jour de manière proactive les tokens 0Auth de GitHub et Bitbucket. rapporté.
CircleCI a également mis en garde ses clients contre une arnaque de collecte d'informations d'identification qui circulait et qui visait à inciter les victimes à saisir leurs identifiants GitHub via une fausse mise à jour des conditions de service. CircleCI a déclaré que l'alerte AWS est liée à l'incident initial du 4 janvier et qu'aucune nouvelle information n'a été découverte. La société a publié un tweet pour rassurer ses clients et leur dire que l'information n'était pas révélatrice d'une autre menace.
CircleCI a annoncé en début de semaine que le 17 janvier, elle enverrait aux clients un rapport d'incident contenant des informations supplémentaires sur l'incident de sécurité initial. Alors que Zuber, le directeur technique, avait initialement conseillé aux clients de faire tourner leurs secrets la semaine dernière, citant un incident de sécurité. Toutefois, le message original ne donnait pas de détails sur ce qui s'était passé.
Il a été conseillé aux clients non seulement de faire tourner les secrets, mais aussi d'examiner les journaux internes pour détecter tout accès non autorisé remontant au 21 décembre. Zuber a informé les clients des problèmes de fiabilité de l'entreprise survenus l'année précédente, mais les responsables ont déclaré que l'incident de sécurité n'était pas lié à ces problèmes. Selon l'entreprise, tout lien entre les dates est purement fortuit.
L'objectif de la collaboration de CircleCI avec AWS, selon la société, est d'aider les clients à identifier facilement et à révoquer ou à faire tourner toute clé potentiellement affectée. L'entreprise a également souligné que "[p]our l'instant, rien n'indique que votre compte AWS a été consulté, mais qu'il est possible que le jeton stocké dans CircleCI ait été divulgué et qu'il doit donc être supprimé d'AWS et remplacé."
Les sources de cet article comprennent un article de SCMagazine.
